2011.03.09

IT GRC 툴, IT만이 아닌 기업 내외부 환경을 통제하라

Neil Roiter | CSO

기업들은 IT GRC 솔루션이 성숙기에 접어 들어가면서 수수께끼 같은 질문에 직면하게 된다. 이 때 기업이 강력한 리스크 대응 태세를 유지하도록 지원할 통제시스템과 정책을 효과적으로 만들고 관리하느냐가 관건이 된다.

또 관리해야 하는 환경이 광범위하게 분산되어 있고, 여러 규제 요건과 감사 요건을 준수해야 한다는 점, 그리고 환경 변화 필요에 적응해야 한다는 점에서 어려움이 더해진다. 다행히 GRC 툴은 이를 지원하도록 만들어져 있다.

가트너 보안 및 위험 관리 부문의 폴 프록터 부사장은 "대부분 기업 조직의 성숙도에 관련한 것들"이라며 "한층 공식적이고 자동화된 추적 제어에 대해 준비가 됐는지를 살펴야만 한다"고 말한다.

이들 제품은 빠르게 증가하는 새로운 규제들에 대해 매뉴얼대로 대응할 필요없이 GRC 이니셔티브를 자동화하도록 해준다. 구체적으로 IT GRC 툴은 다음과 같은 것들을 구현해 준다:

* 정책을 만들어 배포하고, 규제요건과 내부 대응 요건에 맞춰 이들을 관리하고 도식화한다.

* 제대로 제어가 되고 있는지 평가하고, 그렇지 않다면 이를 바로 잡는다.

* 더 쉽게 리스크를 측정하고 이를 경감시켜 준다.

GRC 시장은 크게 엔터프라이즈와 IT 제품으로 나눠진다. 물론 중복되고, 구별이 어려운 부분도 있다. 이번 기사는 IT 운영과 기업이 직면하게 되는 문제들, IT GRC 툴이 이를 해소하기 위해 도움을 주는 방법에 초점을 맞추고 있다.

애널리스트들에 따르면 시장을 선도하고 있는 IT GRC 관련 기업으로는 애질리언스(Agiliance), 모듈로(Modulo), RSA 아처(Archer), RSAM, 시만텍 등을 들 수 있다. 그러나 이들이 제공하고 있는 툴에는 많은 차이점이 있다. 따라서 충분한 시간을 들여 기업이 필요로 하는 바를 파악하고, 이들 다양한 툴의 핵심역량에 이를 매치해봐야 한다.

GRC의 난관
특히 대기업들이 기업 위험에 직접적인 영향을 미칠 수 있는 IT 정책과 통제 방안을 마련하는데 큰 짐을 지고 있다. 대기업들의 대부분은 여러 규제환경에 대응해야 한다. 일부 경우에는 최대 20건에 달하기도 한다. 그리고 이를 위해서는 정책을 도입, 관리하고, 지원하고, 감사를 준비하고 이행하며, 위험을 해소해야 한다. 이러한 규제환경은 전사적으로, 또는 특정 사업 부문을 대상으로 적용이 될 수 있다.

또 파트너와 비즈니스 고객들은 규제에 대응하거나, Cobit 또는 ISO 27001 같은 표준에 충실해야 한다. 사업을 하기 위한 요구조건이기 때문이다. 역으로, 기업은 공급업체와 서비스 제공업체들이 기업의 표준을 준수할 수 있도록 관리해야 한다.

여기서 보안과 위험 대응 방안을 튼튼하게 유지해 나가기란 쉽지 않다. 변경 관리를 통제하고, IT 통제에 있어 격차를 파악해 해소하며, 감사 프로세스를 관리하고, 기업에 위험이 되는 요소를 평가하는 것 또한 어렵다. 성숙한 기업들은 일정 수준의 전사적이고, 경우에 따라서 중앙 집중형 GRC 솔루션을 도입하는 추세다. 그러나 수동적이며 중복적인 프로세스가 저해 요소가 된다.

코퍼레이트 인테그리티(Corporate Integrity)의 마이클 라스무센 대표는 이와 관련, "사람들은 이름이야 어떻든 IT GRC를 시행하고 있지만 스프레드시트와 여타 문서, 셰어포인트를 이용하는 문서 중심의 솔루션들”이라며 “스프레드시트는 재앙을 보장하지만 종국에는 감당할 수 없을 정도로 불어나고, 감사 추적을 할 수 없게 되며 관리도 불가능해진다"고 말했다.

IT GRC의 도전과제로는 다음과 같은 것들을 들 수 있다:




2011.03.09

IT GRC 툴, IT만이 아닌 기업 내외부 환경을 통제하라

Neil Roiter | CSO

기업들은 IT GRC 솔루션이 성숙기에 접어 들어가면서 수수께끼 같은 질문에 직면하게 된다. 이 때 기업이 강력한 리스크 대응 태세를 유지하도록 지원할 통제시스템과 정책을 효과적으로 만들고 관리하느냐가 관건이 된다.

또 관리해야 하는 환경이 광범위하게 분산되어 있고, 여러 규제 요건과 감사 요건을 준수해야 한다는 점, 그리고 환경 변화 필요에 적응해야 한다는 점에서 어려움이 더해진다. 다행히 GRC 툴은 이를 지원하도록 만들어져 있다.

가트너 보안 및 위험 관리 부문의 폴 프록터 부사장은 "대부분 기업 조직의 성숙도에 관련한 것들"이라며 "한층 공식적이고 자동화된 추적 제어에 대해 준비가 됐는지를 살펴야만 한다"고 말한다.

이들 제품은 빠르게 증가하는 새로운 규제들에 대해 매뉴얼대로 대응할 필요없이 GRC 이니셔티브를 자동화하도록 해준다. 구체적으로 IT GRC 툴은 다음과 같은 것들을 구현해 준다:

* 정책을 만들어 배포하고, 규제요건과 내부 대응 요건에 맞춰 이들을 관리하고 도식화한다.

* 제대로 제어가 되고 있는지 평가하고, 그렇지 않다면 이를 바로 잡는다.

* 더 쉽게 리스크를 측정하고 이를 경감시켜 준다.

GRC 시장은 크게 엔터프라이즈와 IT 제품으로 나눠진다. 물론 중복되고, 구별이 어려운 부분도 있다. 이번 기사는 IT 운영과 기업이 직면하게 되는 문제들, IT GRC 툴이 이를 해소하기 위해 도움을 주는 방법에 초점을 맞추고 있다.

애널리스트들에 따르면 시장을 선도하고 있는 IT GRC 관련 기업으로는 애질리언스(Agiliance), 모듈로(Modulo), RSA 아처(Archer), RSAM, 시만텍 등을 들 수 있다. 그러나 이들이 제공하고 있는 툴에는 많은 차이점이 있다. 따라서 충분한 시간을 들여 기업이 필요로 하는 바를 파악하고, 이들 다양한 툴의 핵심역량에 이를 매치해봐야 한다.

GRC의 난관
특히 대기업들이 기업 위험에 직접적인 영향을 미칠 수 있는 IT 정책과 통제 방안을 마련하는데 큰 짐을 지고 있다. 대기업들의 대부분은 여러 규제환경에 대응해야 한다. 일부 경우에는 최대 20건에 달하기도 한다. 그리고 이를 위해서는 정책을 도입, 관리하고, 지원하고, 감사를 준비하고 이행하며, 위험을 해소해야 한다. 이러한 규제환경은 전사적으로, 또는 특정 사업 부문을 대상으로 적용이 될 수 있다.

또 파트너와 비즈니스 고객들은 규제에 대응하거나, Cobit 또는 ISO 27001 같은 표준에 충실해야 한다. 사업을 하기 위한 요구조건이기 때문이다. 역으로, 기업은 공급업체와 서비스 제공업체들이 기업의 표준을 준수할 수 있도록 관리해야 한다.

여기서 보안과 위험 대응 방안을 튼튼하게 유지해 나가기란 쉽지 않다. 변경 관리를 통제하고, IT 통제에 있어 격차를 파악해 해소하며, 감사 프로세스를 관리하고, 기업에 위험이 되는 요소를 평가하는 것 또한 어렵다. 성숙한 기업들은 일정 수준의 전사적이고, 경우에 따라서 중앙 집중형 GRC 솔루션을 도입하는 추세다. 그러나 수동적이며 중복적인 프로세스가 저해 요소가 된다.

코퍼레이트 인테그리티(Corporate Integrity)의 마이클 라스무센 대표는 이와 관련, "사람들은 이름이야 어떻든 IT GRC를 시행하고 있지만 스프레드시트와 여타 문서, 셰어포인트를 이용하는 문서 중심의 솔루션들”이라며 “스프레드시트는 재앙을 보장하지만 종국에는 감당할 수 없을 정도로 불어나고, 감사 추적을 할 수 없게 되며 관리도 불가능해진다"고 말했다.

IT GRC의 도전과제로는 다음과 같은 것들을 들 수 있다:


X